Zertifikat Download unterbinden

[pip8834]

Jetzt geht's. Die filestation-config war zwar nicht im gleichen Verzeichnis (sonst wäre ich vielleicht sogar selbst drauf gekommen ) aber in der ersten config, die wir editiert haben, ist sie erwähnt ("include blabla...").

Vielen Dank für die Hilfe. Jetzt kann ich wieder etwas ruhiger schlafen

 

[Wolfman_II]

Vielen Dank für die Anleitung unter #2. Jetzt klappt es bei mir endlich auch mal mit der SSL Client Authentifizierung

Könnte der OP oder ein Mod das vielleicht noch ins Wiki aufnehmen? Wahrscheinlich finde ich diese Anleitung sonst nie wieder! ;-)

 

[g202e]

Hallo,
ich bin bis zu dieser Stelle gekommen, obwohl ich von Linux keine Ahnung habe.
Also ich habe entsprechend Wiki und der hier geposteten Anleitung alle Zertifikate/Keys für Server u. Client erstellt ohne Fehler.
Dann kommt:

Zum Schluss müssen wir den apache noch konfigurieren.

ins Verzeichnis /usr/syno/apache/conf/extra/ wechseln
und dort die Datei httpd-ssl.conf-sys editieren

Suche dort die Zeilen:
SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key

und darunter diese Zeilen einfügen.

SSLCACertificateFile /usr/syno/etc/ssl/ssl.crt/ca.crt
SSLVerifyClient require

den Apache Neustarten

killall httpd

/usr/syno/etc/rc.d/S97apache-user.sh start
/usr/syno/etc/rc.d/S97apache-sys.sh start

Aber die httpd-ssl.conf-sys im Verzeichnis /usr/syno/apache/conf/extra/ ist leer, daher kann ich keinerlei Zeilen suchen, unter denen ich dann was eingeben kann.
Mag mir vielleicht ein Kundiger weiterhelfen? Danke

DS-EWERTHRO> cd /usr/syno/apache/conf/extra
DS-EWERTHRO> vi httpd-ssl.conf-sys
#
# This is the Apache server configuration file providing SSL support.
# It contains the configuration directives to instruct the server how to
# serve pages over an https connection. For detailing information about these
# directives see <URL:http://httpd.apache.org/docs/2.2/mod/mod_ssl.html>
#
# Do NOT simply read the instructions in here without understanding
# what they do.  They're here only as hints or reminders.  If you are unsure
# consult the online docs. You have been warned.
#

#
# Pseudo Random Number Generator (PRNG):
# Configure one or more sources to seed the PRNG of the SSL library.
# The seed data should be of good random quality.
# WARNING! On some platforms /dev/random blocks if not enough entropy
# is available. This means you then cannot use the /dev/random device
# because it would lead to very long connection times (as long as
# it requires to make more entropy available). But usually those
# platforms additionally provide a /dev/urandom device which doesn't
# block. So, if available, use this one instead. Read the mod_ssl User
# Manual for more details.
#
- httpd-ssl.conf-sys 1/241 0%

 

[jahlives]

Guck doch mal in unser Wiki, wir haben bestimmt was zum Thema vi

 

[g202e]

Du sprichst in Rätseln. Ich habe doch vi benutzt, um das File zu öffnen.
Genauso, wie ich vi benutzte, um die Zertifikate lt. Wiki zu erstellen.

 

[jahlives]

Nur falsch gelesen Habe übersehen, dass deine Datei leer ist und du darum nicht suchen kannst. Bist du sicher, dass die Datei ned mehr Zeilen hat? Woher kommt denn der gezeigte Auszug der Datei? Unten steht 1/241 also müsste die Datei imho 241 Zeilen haben. Zur Not kannst du mal mit cat schauen (der erwischt sicher alle Zeilen)

 

[g202e]

Ich gebe zu, dass mich diese Zahl auch verwirrt. Aber alles was zu sehen ist, habe ich gepostet.
Sorry, aber wer/was ist cat? (Sorry, aber ich bin seit fast 30 Jahren Maus-Schubser und glaube nicht, dass ich jemals ein "Tuxer" werde!)

 

[laserdesign]

Sorry, aber wer/was ist cat?

Durch cat können Dateien auf dem Bildschirm ausgegeben werden. Dies erfolgt allerdings ohne Unterbrechung, so dass man bei größeren Dateien nur noch die letzten paar Zeilen sehen kann, da der Rest bereits oben aus dem Bildschirm herausgescrollt ist.

 

[g202e]

OK, der Maus-Schubser hat wieder was gelernt.
Einfach den Cursor weiter runter "fahren", dann sieht man auch mehr. Sorry.

So, ich habe dann weiter gemacht, wie oben beschrieben, jedoch scheint beim Start des System-"Indianers" was schief zu gehen. Liegt das nun an mir?

DS-EWERTHRO> killall httpd
DS-EWERTHRO> /usr/syno/etc/rc.d/S97apache-user.sh start
Start User Apache Server .....
/usr/syno/etc/rc.d/S97apache-user.sh: user httpd started
DS-EWERTHRO> /usr/syno/etc/rc.d/S97apache-sys.sh start
Start System Apache Server .....  -DSSL -f /usr/syno/apache/conf/httpd.conf-sys
[Mon Dec 12 19:46:00 2011] [warn] module rewrite_module is already loaded, skipping
/usr/syno/etc/rc.d/S97apache-sys.sh: system httpd could not be started
DS-EWERTHRO>

 

[g202e]

So, jetzt habe ich den Salat!
Ich kann nicht mehr über Browser auf meine DS zugreifen, trotz komplettem Neustart der DS und trotz Installation der Zertifikate in verschiedenen Browsern. Habe Opera, IE8 u. FF8.01 portable getestet. Hilfe!

 

[jahlives]

Wenn der Apache nicht mehr startet, dann ist es ja klar, dass du nicht mehr zugreifen kannst. Probier mal zuerst den System-apache und erst dann den User-Apache zu starten.

 

[g202e]

Alles klar! Wenn ich auch verstanden hatte, dass der Apache nicht starten würde, weil da noch ein "Modul geladen war"(?), habe ich nach einem kompletten Restart der DS wieder Zugriff...

 

[derBehringer]

Hi,

ich habe die Anleitung zum erstellen der Zertifikate befolgt, soweit klappt das nun, aber will ich diese schritte hier machen aber beim zweiten : openssl req -new -key client.key -out client.csr bekomme ich diese Meldung: "WARNING: can't open config file: /usr/syno/ssl/openssl.cnf
Unable to load config info from /usr/syno/ssl/openssl.cnf"

Wie/Was muss ich machen?

Ich dachte wenn ich diese Link befolge: http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats müsste ich hier nichts mehr hochladen, wie komme ich an diese

LG derBehringer